Facebook宣布開(kāi)源靜態(tài)分析工具Pysa�。這是Instagram上用于檢測(cè)和修復(fù)應(yīng)用程序龐大Python代碼庫(kù)中錯(cuò)誤的一個(gè)內(nèi)部工具�����,可以自動(dòng)識(shí)別Facebook工程師編寫(xiě)的易受攻擊的代碼段�����,然后再將其集成到社交網(wǎng)絡(luò)的系統(tǒng)中��。
Facebook宣布開(kāi)源靜態(tài)分析工具Pysa�����。這是Instagram上用于檢測(cè)和修復(fù)應(yīng)用程序龐大Python代碼庫(kù)中錯(cuò)誤的一個(gè)內(nèi)部工具����,可以自動(dòng)識(shí)別Facebook工程師編寫(xiě)的易受攻擊的代碼段,然后再將其集成到社交網(wǎng)絡(luò)的系統(tǒng)中��。
其工作原理是在代碼運(yùn)行/編譯之前,以靜態(tài)的形式掃描代碼�����、查找潛在已知的錯(cuò)誤模式�、然后幫助開(kāi)發(fā)者標(biāo)注出潛在的問(wèn)題��。Facebook聲稱(chēng)�,Pysa現(xiàn)已通過(guò)持續(xù)改進(jìn)達(dá)到了成熟;在2020上半年�,該工具在Instagram服務(wù)器端的Python代碼中檢測(cè)到了44%的安全漏洞。
Pysa是Python Static Analyzer的首字母縮寫(xiě)����,其基于Pyre項(xiàng)目的開(kāi)源代碼構(gòu)建,可以對(duì)Python應(yīng)用程序中的數(shù)據(jù)流進(jìn)行分析���。此外���,Pysa還可以檢測(cè)常見(jiàn)的Web應(yīng)用安全問(wèn)題,例如XSS和SQL注入���。
Pysa的開(kāi)發(fā)汲取了Zoncolan的經(jīng)驗(yàn)�����,其使用了與Zoncolan相同的算法執(zhí)行靜態(tài)分析�,甚至與Zoncolan共享了一些代碼。像Zoncolan一樣����,Pysa可追蹤程序中的數(shù)據(jù)流。Zoncolan是Facebook于2019年8月發(fā)布的用于Hack的靜態(tài)分析器�,主要面向類(lèi)似于PHP的編程語(yǔ)言。
Pysa和Zoncolan都可對(duì)輸入代碼庫(kù)的數(shù)據(jù)“源”和“接收器”進(jìn)行查找��,且都可以跟蹤數(shù)據(jù)在代碼庫(kù)中的移動(dòng)方式��,并找到危險(xiǎn)的“接收器”部分���,例如可以執(zhí)行代碼或檢索敏感用戶(hù)數(shù)據(jù)的函數(shù)�。當(dāng)在輸入源和危險(xiǎn)的接收器之間發(fā)現(xiàn)連接時(shí)����,Pysa(和Zoncolan)就會(huì)向開(kāi)發(fā)者發(fā)出警示,以便其展開(kāi)相應(yīng)的調(diào)查��。
此外����,Pysa也是為提高速度而構(gòu)建的��,它能夠在30分鐘到幾小時(shí)內(nèi)處理數(shù)百萬(wàn)行代碼���。Pysa的另一個(gè)特性則是具有可擴(kuò)展性,F(xiàn)acebook安全工程師Graham Bleaney稱(chēng)�,“因?yàn)槲覀冏约旱漠a(chǎn)品使用了開(kāi)源的Python服務(wù)器框架,比如Django和Tornado�,所以Pysa可以從第一次運(yùn)行就開(kāi)始發(fā)現(xiàn)使用這些框架的項(xiàng)目的安全問(wèn)題����。而將Pysa用于我們尚未涉及的框架,一般來(lái)說(shuō)只需添加幾行配置�����,告訴Pysa數(shù)據(jù)進(jìn)入服務(wù)器的位置即可�。”
閩公網(wǎng)安備 35010202001226號(hào)
